Kleopatra"> KWatchGnuPG"> GpgSM"> GPG"> GpgConf"> S/MIME"> DN"> CA"> --external"> --query"> --import-certificate"> ]> &kleopatra;-håndbogen Marc Mutz
marc@klaralvdalens-datakonsult.se
David Faure Udvikler Steffen Hansen
&Steffen.Hansen.mail;
Udvikler
Matthias Kalle Dalheimer Udvikler Jesper Pedersen
&Jesper.Pedersen.mail;
Udvikler
Daniel Molkentin
&Daniel.Molkentin.mail;
Udvikler
&erik.kjaer.pedersen.role;
&GPLNotice; 2004-06-11 0.31 &kleopatra; er et værktøj til at håndtere X.509-certifikater. KDE Kapp X509 LDAP gpg gpgsm
Indledning &kleopatra; er et &kde;-værktøj til at håndtere X.509-certifikater i &gpgsm;-nøglekassen og til at hente certifikater fra LDAP-servere. &kleopatra; kan startes fra &kmail;s menu Værktøjer, samt fra kommandolinjen. Programmet &kleopatra; hedder kleopatra. Programmet er opkaldt efter Kleopatra, en berømt kvindelig ægyptisk farao som levede samtidigt med Julius Cæsar, som det siges at hun havde et intimt forhold til. Navnet blev valgt fordi programmet har sin oprindelse i projektet Ägypten (Ägypten er tysk for Ægypten). Hovedfunktioner Vis den lokale nøglekasse &kleopatra;s hovedfunktion er at vise og redigere indholdet i den lokale nøglekasse, som ligner begrebet i &gpg; med nøgleringe, selvom man ikke skal strække denne an analogi forlangt. Hovedvinduet er opdelt i et stort område med en liste nøgler, menulinjen og søgelinjen længst oppe, og en statuslinje længst nede. Hver linje i nøglelisten svarer til et certifikat, som identificeres ved sin såkaldte Emne-DN. DN er en forkortelse som betyder Distinguished Name (særligt navn), en hierarkisk identifikator som meget ligner en søgesti i filsystemet med en usædvanlig syntaks, som er beregnet til entydigt at identificere et givet certifikat i hele verden. For at være gyldige, og derfor brugbare, skal (åbne) nøgler være underskrevet af en certifikatudsteder (CA). Underskrifterne kaldes certifikater, men oftest bruges begreber certifikat og (åben) nøgle i flæng, og vi skelner heller ikke mellem dem i denne håndbog, undtagen når det angives eksplicit. Navnet på certifikatudstederen som udstedet certifikatet (dens &dn;) vises i søjlen Udsteder-&dn;. Certifikatudstedere skal omvendt være underskrevet af andre certifikatudstedere for at være gyldige. Dette skal naturligvis slutte et eller andet sted, så certifikatudstedere på topniveau (rodcertifikatudstedere) underskriver deres nøgle selv (det kaldes en selvunderskrift). Rodcertifikater skal derfor tildeles gyldighed (almindeligt kaldt tillid) i hånden, dvs. efter at have sammenlignet fingeraftrykket med det som findes på certifikatudstederens hjemmeside. Det gøres typisk af systemadministratoren eller leverandøren af et produkt som bruger certifikater, men kan også gøres af brugeren via &gpgsm;s kommandolinjegrænseflade. For at se hvilket af certifikaterne der er rodcertifikat, kan du enten sammenligne Emne-DN og Udsteder-DN, eller skifte til hierarkisk tilstand for nøglelisten med Vis Hierarkisk nøgleliste. Du kan se detaljerne for et hvilket som helst certifikat ved at dobbeltklikke på det, eller bruge Vis Certifikatdetaljer.... Dette åbner en dialog som viser de almindeligste egenskaber for certifikatet, dets certifikatkæde (dvs. kæden af udstedere op til rodcertifikatudstederen), og en udskrift af al information som grænsefladen kan trække ud af certifikatet. Hvis du ændrer nøglekassen uden at bruge &kleopatra; (f.eks. ved at bruge kommandolinjegrænsefladen i &gpgsm;), kan du opdatere visningen med F5Vis Vis igen. Eftersom kontrol af en nøgle kan tage en del tid (f.eks. skal CRL'er måske hentes), forsøger den almindelige liste med nøglerikke at kontrollere gyldigheden af nøgler. For dette sørges der for &Shift;F5 CertifikaterValidér, en speciel variant af F5Vis Vis igen. Den kontrollerer enten direkte markerede certifikater, eller alle nøgler hvis ingen er markeret. Søgning efter og import af certifikater For det meste skaffar du nye certifikat ved at kontrollere underskrifter i e-mail, eftersom certifikater oftest er indlejrede i underskrifterne som laves med dem. Hvis du imidlertid har brug for at sende et brev til nogen som du endnu ikke har haft kontakt med, skal du hente certifikatet fra en LDAP-mappe (selvom &gpgsm; kan gøre dette automatisk), eller fra en fil. Du skal også importere dit eget certifikat efter at have modtaget certifikatudstederens svar på din certifikatforespørgsel. For at søge efter et certifikat i en LDAP-mappe, ændres dropned-kassen i søgelinjen fra I lokale certifikater til I eksterne certifikater, indtast tekst (f.eks. navnet på personen hvis certifikat du vil have) i linjeeditoren og klik på ikonen Søg. Resultaterne vises i nøglelisten under søgelinjen, hvor du kan markere certifikater, enten for at kigge på dem med ViewCertifikatdetaljer... eller hent dem med CertifikaterDownload til den lokale nøgleboks. Bemærk at du også kan hente certifikatet med dialogen med detaljer, ved at bruge knappen Importér lokalt. Du kan indstille listen med LDAP-servere som skal søges i på siden Katalogtjenester i &kleopatra;s indstillingsdialog. Hvis du modtog certifikatet som en fil, så forsøg med Fil Importér certifikater.... &gpgsm; skal forstå certifikatfilens format. Se håndbogen for &gpgsm; for en liste med filformater som understøttes. Hvis du ikke oprettede dit eget nøglepar med &gpgsm;, skal du også manuelt importere både den åbne og den hemmelige nøgle fra PKCS#12-filen du fik fra certifikatudstederen. Du kan gøre dette fra kommandolinjen med kleopatra &commandline-option-import-certificate; filnavn eller inde i &kleopatra; med Fil Importér certifikater..., præcis som du ville gøre for normaler certifikater. Opret nye nøglepar Menupunktet FilNyt nøhlepar... starter certifikatforepørgselsguiden som vil lede dig gennem et antal skridt til at oprette en forespørgsel om et certifikat. Denne forespørgsel kan, på guidens sidste side, enten sendes til en certifikatautoritet (&ca;) for at blive underskrevet, eller gemmes til en fil (for eksempel på en diskette, så den kan sendes til certifikatautoriteten). Så snart du er færdig med et skridt i guiden, tryk så på Næste for at gå til næste skridt (eller Tilbage for at kontrollere skridt som allerede er færdige). Oprettelsen af forespørgsler om certifikater kan afbrydes når som helst ved at trykke på knappen Annullér. Det første skridt i guiden er at indtaste persondata for certifikatet. Feltet som skal udfyldes i er: Navn: Dit navn; Sted: Byen du bor i; Organisation: Organisationen du repræsenterer (f.eks. det firma hvor du arbejder); Afdeling: Enheden i organisationen hvor du er, for eksempel "Logistik"; Landekode: Koden med to bogstaver for landet du bor i (for eksempel "dk"); E-mail-adresse: Din e-mail-adresse. Sørg for at du skriver dette rigtigt—det er adressen som alle sender breve til når de anvender dit certifikat. Næste skridt i guiden er at vælge om certifikatet skal opbevares i en fil eller sendes direkte til certifikatautoriteten. Du skal angive filnavn eller e-mail-adresse hvortil forespørgsler om certifikatet skal sendes. Håndtering af nøglekassen Foruden liste og vælidering, søg og importér certifikater og opret nye, har &kleopatra; også nogle funktioner som ikke bruges så ofte men hjælper dig med at håndtere den lokale nøglekasse. Disse funktioner inkludere at slette certifikater fra den lokale nøgleboks med Delete CertifikaterSlet, så vel som manuel håndtering af CRL'er ( CertifikaterGenopfrisk CRL'er , CRL'er Ryd CRL-cache..., CRL'er Dump CRL-cæache...). Menureference Menuen Fil FilNyt nøglepar... Opretter et nyt nøglepar (offentlig of privat) og lader dig sende den åbne del til en certifikatudsteder (&ca;) for underskrift. Det resulterende certifikat sendes siden tilbage til dig, eller opbevares på en LDAP-server så du kan hente det til din lokale nøgleserver, hvor du kan bruge det til at underskrive og afkode e-mail. Denne arbejdsmåde kaldes decentraliseret nøglegenerering, eftersom alle nøgler laves lokalt. &kleopatra; (og &gpgsm;) understøtter ikke centraliseret nøglegenerering direkte, men du kan importere nøglebundter med offentlig/hemmelig nøgle som du modtog fra certifikatudstederen med PKCS#12-format via Fil Importér certifikater.... FilEksportér crtifikater... Eksporterer markerede certifikater til en fil. Dette eksporterer kun de åbne nøgler, selvom de hemmelige nøgler er tilgængelige. Brug FilEksportér hemmelig nøgle... både til at eksportere offentlige og hemmelige nøgler til en fil, men bemærk at det er næsten altid en dårlig idé. FilEksportér hemmelig nøgle... Eksporterer både den offentlige og den hemmelige nøgle til en (PKCS#12)-fil. Det bør sjældent være nødvendigt at bruge denne funktion, og hvis det er det, skal det planelægges nøje. Planlægning af migration af en hemmelig nøgle omfatter blandt andet valg af transportmedie, og sikker sletning af nøgledata på den gamle maskine, samt på transportmediet. FilImportér certifikater... Importerer certifikater og/eller hemmelige nøgler fra filer til den lokale nøglekasse. Certifikatfilens format skal være et som er understøttet af &gpgsm;. Referér venligst til &gpgsm;-manualen for en liste af understøttede formater. FilImportér CRL'er... Lader dig importere CRL'er fra filer manuelt. Normalt håndteres CRL'er transparent af baggrundsprogrammet, men ind imellem kan det være nyttigt at importere CRL'er til den lokale CRL-cache manuelt. For at CRL-import skal virke, skal værktøjet dirmngr være i søgestien PATH. Hvis menupunktet ikke kan vælges, bør du kontakte systemadministratoren og bede om at få dirmngr installeret. Du kan kigge på indholdet i den lokale CRL-cache med menupunktet CRL'erDump CRL-cache... . Dette vil vise en dialog med information om CRL'er som findes i cachen og fingeraftrykket for certifikaterne i hver CRL. &Ctrl;Q FilAfslut Afslutter &kleopatra;. Menuen Vis F5 VisVis igen Viser markerede certifikater igen, eller opdaterer certifikatlisten. Hvis der findes markerede certifikater, gælder opdateringshandlingen kun de markerede indgange. Hvis resultatet af en forespørgsel (enten ekstern eller lokal) visesfor øjeblikket, gentages forespørgslen igen og det nye resultat vises i stedet for det gamle. Hvis ingen forespørgsel er udført, hentes hele nøglekassens indhold og vises igen. Du kan bruge dette hvis du har ændret indholdet i nøglekassen på anden måde end via &kleopatra; (f.eks. ved at bruge kommandolinjegrænsefladen i &gpgsm;). Esc VisStop operation Stopper (afbryder) alle pågående handlinger, f.eks. en søgning eller en download. Afhængig af serveren som bruges, kan &kleopatra; blokeres nogle sekunder når en fjernsøgning afbrydes mens grænsefladen gør proceduren færdig. Dette er normalt og forventet opførsel. VisCertifikatdetaljer... Viser detaljer om certifikatet som for øjeblikket er markeret. Denne funktion er også tilgængelig ved at dobbeltklikke direkte på det tilsvarende objekt i listevisningen. VisHierarkisk nøgleliste Skifter mellem hierarkisk og flad tilstand for nøglelisten. I hierarkisk tilstand ordnes certifikater efter forholdet udsteder og emne, så det er nemt at se hvilket certifikathierarki som et givet certifikat tilhører, men et givet certifikat er sværere at finde i begyndelsen (selvom du naturligvis kan bruge søgelinjen). I flad tilstand vises alle certifikater i en flad liste, alfabetisk sorteret. Et givet certifikat er nemt at finde i denne tilstand, men det er ikke direkte klart hvilket rodcertifikat det tilhører. &Ctrl;. VisEkspandér alt (Denne funktion er kun tilgængelig når Vis Hierarkisk nøgleliste er slået til.) Udvider alle listepunkter i certifikatlistens visning, dvs. gør alle punkter synlige. Dette er standard når hierarkisk tilstand vælges for nøglelisten. Du kan naturligvis stadigvæk ekspandere eller trække hver enkelt linje sammen for sig. &Ctrl;, VisKollaps alt (Denne funktion er kun tilgængelig når Vis Hierarkisk nøgleliste er slået til.) Trækker alle listepunkter certifikatlistens visning sammen, dvs. skjuler alt andet end punkterne på øverste niveau. Du kan naturligvis stadigvæk ekspandere eller trække hver enkelt linje sammen for sig. Certifikatmenu &Shift;F5 CertifikaterValidér Kontrollerer markerede (eller alle) nøgler. Dette ligner F5Vis Vis igen men udfører en validering af (markerede) nøgler. Validering betyder her at alle relevante CRL'er bliver hentet, og at det kontrolleres at certifikatkæden er rigtig. Som et resultat markeres ugyldige eller udløbne nøgler ifølge dine farve- og skrifttypeindstillinger fra siden Udseende i &kleopatra;s indstillingsdialog. Du kan kun stole på informationen i kontrollerede nøgler, og eftersom hvilken som helst af dem kan tilbagekaldes når som helst, er en kontrol til og med kun et øjebliksbillede af den nuværende tilstandet i den lokale nøglering. Det er derfor grænsefladen normalt udfører denne slags kontroller så snart nøglerne bruges (f.eks. til underskrift, verificering af underskrifter, kryptering eller afkodning). CertifikaterGenopfrisk CRL'er Henter nuværende CRL'er for alle markerede nøgler, selvom de ikke normalt skulle hentes når nøglen bruges. Funktionen får kun virkning på certifikater som definerer et distributionspunkt for en CRL. Afhængig af grænsefladen som bruges, så opdateres certifikater ikke som er indstillede til at udføre kontroller med direkte validerede certifikater (OCSP). Du kan for eksempel bruge dette hvis du får at vide fra anden side at en nøgle er kaldt tilbage, og du ønsker at grænsefladen skal angive det nu i stedet for at vente på at det skal ske automatisk ved næste skemalagte opdatering af CRL'er. Omfattende brug af denne funktion kan give høj belastning på leverandørens eller firmaets netværk, eftersom CRL'er i store organisationer kan være overraskende store (flere megabyte er ikke usædvanligt). Brug kun denne funktion sjældent. Delete CertifikaterSlet Sletter markerede certifikater fra den lokale nøglering. Brug denne funktion til at fjerne ubrugte nøgler fra den lokale nøglekasse. Eftersom certifikater typisk er bilag i underskrevet e-mail, kan verifikation af et brev dog gøre at nøglen som netop er fjernet dukker op igen i den lokale nøglekasse. Derfor er det formodentlig bedst at undgå at bruge funktionen så meget som muligt. Når du er faret vild, så brug søgelinjen eller funktionen Vis Hierarkisk nøgleliste til at få kontrollen tilbage over hele opsætningen af certifikater. CertifikaterDownload Henter markerede certifikater fra LDAP til den lokale nøglekasse. Menuen CRL'er CRL'erRyd CRL-cache... Rydder &gpgsm;'s CRL-cache. Du behøver formodentlig aldrig dette. Du kan påtvinge en opdatering af CRL-cachen ved i stedet at markere alle certifikater og bruge CertifikaterGenopfrisk CRL'er CRL'erDump CRL-cache... Viser detaljeret indehold i &gpgsm;'s CRL-cache. Menuen Værktøjer VærktøjerGnuPG logfremviser... Starter &kwatchgnupg;. Menuen Opsætning OpsætningVis statuslinje Slår synlighed af statuslinjen længst nede til og fra. OpsætningIndstil genveje... Åbner &kde;'s almindelige indstillingsdialog for genvejstaster, hvor du kan tildele og ændre genvejstaster for alle menupunkter. OpsætningIndstil &kleopatra;... Åbner &kleopatra;s indstillingsdialog. Se for mere information. OpsætningIndstil underliggende GpgME-program... Åbner en dialog som lader dig indstille alle funktioner i &gpgsm; og andre grænseflademoduler. Denne dialogen laves dynamisk ud fra udskrift fra værktøjet &gpgconf; og den kan derfor ændres når grænseflademoduler opdateres. Hjælpemenu Hjælpemenuen indeholder &kde;'s standardmenu for hjælp. &help.menu.documentation; Reference for kommandolinjeflag Kun flag som er specifikke &kleopatra; er på listen her. Som med alle &kde;-programmer, kan du få en fuldstændig liste med flag ved at give kommandoen kleopatra . &commandline-option-external; Angiver at &commandline-option-query; skal søge på andre maskiner i stedet for i den lokale nøglekasse. &commandline-option-query; Angiver at &kleopatra; skal starte med den angivne forespørgselsstreng i stedet for at vise den fuldstændige lokale nøglekasse. &commandline-option-import-certificate; Angiver en fil eller URL som skal bruges til at importere certifikater (eller hemmelige nøgler). Dette er ækvivalent på kommandolinjen til Fil Importér certifikater.... Indstil &kleopatra; Der er adgang til &kleopatra;s indstillingsdialog via Opsætning Indstil &kleopatra;.... Hver af dens sider beskrives i afsnittene nedenfor. Indstil mappetjenester På denne side kan du indstille hvilke LDAP-servere som skal bruges til certifikatsøgning. Du kan også indstille deres rækkefølge, samt nogle udvalgte LDAP-relaterede indstillinger fra den dynamiske indstillingsdialog for grænsefladen, tilgængelig via Opsætning Indstil underliggende GpgME-program.... For at tilføje en ny server, klikkes på knappen Tilføj tjeneste.... I dialogen som kommer frem kan du angive Servernavn,Port (som standard den normale LDAP-port), Basisdomænenavn (sommetider kaldet søgeroden eller søgebasen), og de sædvanlige Brugernavn og Kodeord som kun behøves hvis serveren kræver godkendelseskontrol. Ved at klikke på O.k. tilføjes serverinformationen til listen med servere, mens Afbryd kasserer inddata. For at fjerne en server fra søgelisten, markeres den i listen og der trykkes på knappen Fjern tjeneste. For at ændre den relative søgerækkefølge mellem serverne, markeres en af dem og den flyttes opad eller nedad med piletasterne ved siden af listen. For at indstille tidsgrænsen for LDAP, dvs. den maksimale tid som grænsefladen venter på at en server skal svare, bruges simpelthen det tilsvarende indtastningsfelt som hedder LDAP-tidsgrænse. Hvis en af dine servere har en stor database, så til og med rimelige søgninger såsom Pedersens når maksimalt antal punkter som returneres af en forespørgsel, vil du måske øge grænsen. Du kan nemt finde ud af om du når grænsen under en søgning, eftersom en dialog som fortæller for dig at resultatet er afkortet dukker op, hvis dette er tilfældet. Visse servere kan indføre egne begrænsninger på antal punkter som returneres ved en forespørgsel. Hvis dette er tilfældet, resulterer en øgning af grænserne ikke i at flere punkter returneres. Indstil visuelt udseende &kleopatra; lader dig indstille udseendet af (kontrollerede) nøgler i listevisningen. Det omfatter forgrundsfarven (tekstfarven) og baggrundsfarven, samt skrifttypen. Hver Nøglekategori til venstre tildeles et sæt farver og en skrifttype som nøgler tilhørende kategorien vises med. Kategorilisten fungerer også som en forhåndsvisning af indstillingerne. Kategorier kan frit defineres af en administrator eller en avanceret bruger, se under . For at ændre tekstfarven (forgrundsfarven) for en kategori, markeres den i listen og der trykkes på knappen Angiv tekstfarve.... &kde;'s almindelige farvevalgsdialog vises, hvor du kan vælge farve eller oprette en ny farve. Ændring af baggrundsfarven gøres på samme måde, klik blot på Angiv baggrundsfarve i stedet for. For at ændre skrifttype har du to valgmuligheder: Ændr standardskrifttype som bruges for alle listevisninger i &kde;. Brug en egen skrifttype. Det første alternativ har den fordel at skrifttypen følger hvilken stil du end vælger i hele &kde;, mens den anden giver dig fuldstændig kontrol over skrifttypen som bruges. Valget er dit. For at bruge den ændrede standardskrifttype, markeres kategorien i listen og der markeres eller afmarkeres skrifttypeegenskaberne kursiv, fed type og/eller overstreget. Du ser med det samme effekten på skrifttypen i kategorilisten. Tryk på knappen Sæt skrifttype... for at bruge en egen skrifttype. &kde;'s almindelige skrifttypedialog vises, hvor du kan vælge en ny skrifttype. Bemærk at du stadigvæk kan bruge tegnegenskaber for at ændre din egen skrifttype, præcis som for at ændre standardskrifttype. For at skifte tilbage til standardskrifttype, skal du trykke på knappen Standardudseende. Indstil den rækkefølge &dn;-attributter vises Selvom &dn;'er er hierarkiske, defineres rækkefølgen af de enkelte komponenter (som kaldes relative DN'er, RDN'er, eller DN-egenskaber) ikke. Rækkefølgen som egenskaberne vises er derfor et udtryk for personlig smag eller firmapolitik, hvilket er grunden til at den kan indstilles &kleopatra;. Denne indstilling gælder ikke kun &kleopatra; men for alle programmer som bruger &kleopatra;'s teknologi. Når dette skrive omfatter dette &kmail;, &kde;'s adressebog samt naturligvis &kleopatra; selv. Denne indstillingsside består i hovedsagen af to lister, en for de kendte attributter (Tilgængelige attributter) og en som beskriver Nuværende attributrækkefølge. Begge lister indeholder indgange som beskrives af attributtens korte form (f.eks. CN) samt den udskrevne form (Sædvanligt navn). Listen Tilgængelige attributter er altid sorteret i alfabetisk rækkefølge, mens rækkefølgen i listen Nuværende attributrækkefølge svarer til den indstillede DN-attributrækkefølge: den første attribut på listen er også den som vises først. Kun attributter som eksplicit er på listen i Nuværende attributrækkefølge vises i det hele taget. De øvrige skjules normalt. Hvis pladsholderindgangen _X_ (Alle andre) alligevel findes i nuværende liste, indsættes alle attributter som ikke er på listen (om de er kendte eller ej) på pladsen _X_, i deres oprindelige relative rækkefølge. Et lille eksempel hjælper til at gøre dette mere klart: Givet DN
O=KDE, C=US, CN=Dave Devel, X-BAR=foo, OU=Kleopatra, X-FOO=bar,
standard-attributrækkefølge for CN, L, _X_, OU, O, C giver følgende formaterede DN:
CN=Dave Devel, X-BAR=foo, X-FOO=bar, OU=Kleopatra, O=KDE, C=US
mens CN, L, OU, O, C giver
CN=Dave Devel, OU=Kleopatra, O=KDE, C=US
For at tilføje en attribut til listen med attributrækkefølgen, markeres den på listen Tilgængelige attributter, og der trykkes på knappen Tilføj i nuværende attributrækkefølge. For at fjerne en attribut fra listen med attributrækkefølgen, markeres den i listen Nuværende attributrækkefølge, og der trykkes på knappen Fjern fra nuværende attributrækkefølge. For at flytte en attribut til begyndelsen (eller slutningen), markeres den i listen Nuværende attributrækkefølge, og der trykkes på knappen Flyt længst op (eller Flyt længst ned). For at flytte en attribut et skridt opad (eller nedad), markeres den i listen Nuværende attributrækkefølge, og der trykkes på knappen Flyt en opad (eller Flyt en nedad).
Administrator-guide Administrationsguiden beskriver måder at indstille &kleopatra; som ikke er tilgængelige via den grafiske grænseflade, men kun via indstillingsfiler. Det antages at læseren kender til teknologien som bruges for at indstille &kde;-programmer, inklusive layout, stedet i filsystemet og rækkefølge af &kde;'s indstillingsfiler, samt KIOSK-skelettet. Brugerindstilling af certifikat-oprettelsesguide &kleopatra; tillader tilpasning af felterne som brugeren har lov til at indtaste for at lave sit certifikat. Lav en gruppe der hedder CertificateCreationWizard i den systemomfattende kleopatrarc. Hvis du ønsker en tilpasset rækkefølge af attributter eller hvis du kun ønsker at visse punkter skal ses, så lav en nøgle der hedder DNAttributeOrder. Argumentet er en mere af CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,EMAIL Hvis du ønsker at initialisere felter med en bestemt værdi, så skriv noget i retning af Attribute=værdi. Hvis du ønsker at attributten skal behandles som krævet, så efterfølg den med et udråbstegn (f.eks. CN!,L,OU,O!,C!,EMAIL!, hvilket rent faktisk er standardindstillingen). Brug af KIOSK-tilstandsflaget $e tillader at hente værdierne fra miljøvariabler eller fra et evalueret script eller binært program. Hvis du yderligere ønsker at forbyde redigering af de respektive felter, så brug flaget $i. Hvis du ønsker at forbyder brugen af knappen Indsæt min adresse så sæt ShowSetWhoAmI til falsk. På grund af naturen af &kde;'s KIOSK-skelet, vil brug af flaget ($i) gøre det umuligt for brugeren at sætte flaget ud af kraft. Dette er med vilje. $i og $e kan også bruges med en vilkårlig anden config-nøgle i &kde;'s programmer. Følgende eksempel antyder mulige tilpasninger: [CertificateCreationWizard] ;Forbyd at kopiere personlige data fra adressebogen, tillad ikke lokalt at sætte ud af kraft ShowSetWhoAmI[$i]=false ;sætter brugernavnet til $USER CN[$e]=$USER ;sætter firmanavnet til "Mit firma", forbyder redigering OU[$i]=Mit firma ;sætter afdelingens navn til enværdi returneret af et script OU[$ei]=$(slaa_afd_op_fra_ip) ; sætter land til DK, men tillader ændringer af brugeren C=DK Opret og redigér nøglekategorier &kleopatra; lader brugeren indstille synligt udseende for nøgler baseret på et begreb som kaldes Nøglekategorier. Afsnittet beskriver hvordan du kan redigere tilgængelige kategorier og tilføje nye. Ved forsøg på at finde kategorien som en nøgle tilhører, forsøger &kleopatra; at matche nøglen med en følge af nøglefilter, angivet i filen libkleopatrarc. Den første som matcher definerer kategorien. Hvert nøglefilter defineres i en konfigurationsgruppe som hedder Key Filter #n, hvor n er et tal som begynder med 0. Den eneste tvungne nøgle i en Key Filter #n-gruppe er Name, der indeholder navnet på kategorien som vist i config-dialogen. en liste af alle nøgler som definerer visningsegenskaberne for nøgler som hører til kategorien (dvs. de nøgler som kan indstilles i indstillingsdialogen), mens angiver alle nøgler som definerer de kriterier som filtret bruger til matche nøglerne imod. Indstillingsnøgler til at definere visningsegenskaber i nøglefilter Indstillingsnøgle Type Beskrivelse background-color farve Baggrundsfarven som skal bruges. Hvis den mangler får den som standardværdi den baggrundsfarve som er defineret globalt for listevisninger. foreground-color farve Forgrundsfarven som skal bruges. Hvis den mangler får den som standardværdi den forgrundsfarve som er defineret globalt for listevisninger. font skrifttype Den egne skrifttype som skal bruges. Skrifttypen skaleres til størrelsen som er indstillet for listevisninger, og eventuelle tegnattributter (se nedenfor) anvendes. font-bold boolean Hvis sat til true og font ikke er angivet, bruges standardskrifttypen i listevisningen med tegnstilen fed type tilføjet (om tilgængelig). Ignoreres hvis font også er tilstede. font-italic boolean Svarer til font-bold, men bruger kursiv typer i stedet for fede typer. font-strikeout boolean Hvis true tegnes en centreret linje henover skrifttypen. Gælder også selvom font er angivet. ikon tekst Navnet på en ikon at vise i første søjle. Endnu ikke implementeret.
Indstillingsnøgler for at definere filterkriterier i nøglefilter Indstillingsnøgle Type Hvis angivet matcher filtret når... is-revoked boolean nøglen har er kaldt tilbage. is-expired boolean nøglen har udløbet. is-disabled boolean nøglen har deaktiveret (markeret til ikke at bruges) af brugeren. Ignoreres for &smime;-nøgler. is-root-certificate boolean nøglen er et rodcertifikat. Ignoreres for OpenPGP-nøgler. can-encrypt boolean nøglen kan bruges til kryptering. can-sign boolean nøglen kan bruges til underskrift. can-certify boolean nøglen kan bruges til at underskrive andre nøgler. can-authenticate boolean nøglen kan bruges til godkendelseskontrol (f.eks. som et TLS-klientcertifikat). has-secret-key boolean den hemmelige nøgle i dette nøglepar er tilgængelig. is-openpgp-key boolean nøglen er en OpenPGP-nøgle (true), eller en &smime;-nøgle (false). was-validated boolean nøglen er blevet valideret (se &Shift;F5 CertifikaterValidér). prefix-ownertrust validity Gyldighed er en (ordnet) nummerering af følgende tilladte værdier: unknown, undefined, never, marginal, full, ultimate. Se håndbøgerne for &gpg; og &gpgsm; for en detaljeret forklaring. nøglen har nøjagtigt (prefix = is), har hvad som helst undtagen (prefix = is-not), har i det mindste (prefix = is-at-least), eller har højst (prefix = is-at-most ejerpålideligheden som angives som værdien i indstillingsnøglen. Hvis mere end en nøgle med prefix-ownertrust (med forskellige prefix værdier) findes i en enkelt gruppe, er opførslen udefineret. prefix-validity validity Svarer til prefix-ownertrust, men for nøglegyldighed i stedet for ejerpålidelighed.
Nogle af de mest interessante kriterier, såsom is-revoked eller is-expired fungerer kun med kontrollerede nøgler, hvilket er grunden til at det normalt kun undersøges at kontrollerede nøgler er kaldt tilbage eller udløbet, selvom det står dig frit at fjerne disse ekstra betingelser. I almindelighed undersøges kriterier som ikke angives (dvs. hvis indstillingsnøgler ikke er med) ikke. Hvis et kriterium angives, undersøges det og skal matche for at filtret som helhed skal matche, dvs. kriterierne sammensættes med OG. Eksempler på nøglefiltre For at søge efter alle udløbne men ikke tilbagekaldte rodcertifikater, skal du bruge et nøglefilter som defineres på følgende måde: [Key Filter #n] Name=udløbet, men ikke tilbagekaldte was-validated=true is-expired=true is-revoked=false is-root-certificate=true For at søge efter alle deaktiverede OpenPGP-nøgler (som endnu ikke understøttes af &kleopatra;) med i det mindste marginel ejerpålidelighed, skal du bruge: [Key Filter #n] Name=deaktivér OpenPGP-nøgler med marginel eller bedre ejerpålidelighed is-openpgp=true is-disabled=true is-at-least-ownertrust=marginal
Medvirkende og licens &kleopatra; ophavsret 2002 &Steffen.Hansen;, &Matthias.Kalle.Dalheimer; and &Jesper.Pedersen;., ophavsret 2004 &Daniel.Molkentin;, ophavsret 2004 Klarälvdalens Datakonsult AB Dokumentation ophavsret 2002 &Steffen.Hansen;, ophavsret 2004 &Daniel.Molkentin;, ophavsret 2004 Klarälvdalens Datakonsult AB Bidragydere &Marc.Mutz; &Marc.Mutz.mail; &David.Faure; &David.Faure.mail; &Steffen.Hansen; hansen@kde.org &Matthias.Kalle.Dalheimer; &Matthias.Kalle.Dalheimer.mail; &Jesper.Pedersen; &Jesper.Pedersen.mail; &Daniel.Molkentin; &Daniel.Molkentin.mail; &erik.kjaer.pedersen.credit; &underFDL; &underGPL; &documentation.index;